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@ Verfahren zur Erkennung des MiSbrauchs einer Zugangsberechtigung 

(§7) Die Erfindung richtet sich auf ein Verfahren zum Erkennen 
der uneriaubten Benutzung einer zum Zugriff auf eine 
Dienstleistungsanlage, zum Zugang zu Raumen o. dg!. 
berechtigenden Identifizierung mit einern personenbezoge- 
nen Speichermedium und mit einer Schreib-/Leseeinrich- 
tung fur dieses Speichermedium, wobei die Schreib-/Lese- 
einrichtung mit einer Auswerte-_ und Entscheidungseinrich- 
tung kommuniziert, wobei zur Oberprufung der Identifizie- 
rung in dem personenbezogenen Speichermedium gespei- 
cherte Daten gelesen und an die Auswerte- und Entschei- 
dungseinrichtung ubertragen werden, weiche in Abhangig- 
keit von diesen Daten eine Interaktion gewahrt oder verwei- 
gert, und wobei mindestens ein Teil der ubertragenen Daten 
variabel ist; erfindungsgemafi werden die variablen Daten 
bei jeder Interaktion zumindest teilweise durch neue Daten 
iiberschrieben, die von der Auswerteeinrichtung generiert 
und zu dem Speichermedium ubertragen werden, und die 
bei der nachsten Interaktion von der Auswerte-/Entschei- 
dungseinrichtung als neues Schlusselwort zur Identifizierung 
verlangt werden. 
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Die folgenden Angaben sind den vorn Anmelder eingereichten Unterlagen entnommen 
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Die Erfindung richtet sich auf ein Verfahren zum Er- 
kennen der unerlaubten Benutzung einer zum Zugriff 
auf eine Dienstleistungsanlage, zum Zugang zu Raumen 5 
od. dgl berechtigenden Identifizierung mit einem perso- 
nenbezogenen Speichermedium, einer Schreib-/Lese- 
einrichtung fur dieses Speichermedium und einer Aus- 
werte- und Entscheidungseinrichtung, wobei zur Identi- 
fizierung in dem personenbezogenen Speichermedium 10 
gespeicherte, variable Daten gelesen und an die Aus- 
werte- und Entscheidungseinrichtung ubertragen wer- 
den. 

Insbesondere bei Mobilfunknetzen ist die Gefahr ei- 
nes MiBbrauchs relativ groB, denn hier kann eine Mani- 15 
pulation an einem Endgerat nicht erkannt werden, au- 
Berdem lassen sich manipulierte Endgerate aufgrund ih- 
rer Mobilitat viei intensiver nutzen als bspw. stationare 
Telefonanschiusse, so daB der entstehende Schaden bei 
Mobilfunknetzen weitaus groBer sein kann. 20 

Zur Vermeidung eines MiBbrauchs von Mobilfunk- 
netzen sind daher eine Reihe von Sicherheitsvorkehrun- 
gen vorgesehen: Jeder Teilnehmer besitzt eine sog. 
Chip-Karte, mit fur ihn charakteristischen Daten, die er 
zunachst in ein Endgerat (Handy) einsetzen muB, um 25 
dieses in Betrieb nehmen zu konnen. Sofern der Teilneh- 
mer mit dem Mobilfunknetz in Interaktion treten will, 
& h., zur Durchfiihrung eines Gesprachs auf dieses zu- 
greifen will, muB er zunachst seine personliche Identifi- 
kationsnummer eingeben, welche das Handy nun mit 30 
den auf der eingesetzten Chip-Karte gespeicherten Da- 
ten vergleicht Stimmt diese Zahl uberein, so erkennt 
das Handy die Identitat des Teilnehmers und tritt nun in 
Kommunikation mit einer Zentrale des Mobilfunknet- 
zes, um einen Gesprachskanal zu erhalten. Zu diesem 35 
Zweck funkt das Handy eine Identifikationsnummer; 
daraufhin antwortet die Zentrale durch Obertragung 
einer Zufallszahl X. Nun unterwirft das Handy die emp- 
fangene Zufallszahl X einer auf der Chip-Karte abge- 
speicherten Schlusselfunktion Y und generiert solcher- 40 
maBen eine Ergebniszahl Z. Diese wird zur Zentrale 
gefunkt, welche das Ergebnis Z mit einem intern errech- 
neten Referenzwert vergleicht und bei Identitat dieser 
beiden Werte den Zugriff auf das Mobilfunknetz frei- 
gibt und einen Gesprachskanal zuteilt Dieses Verfahren 45 
soil einem MiBbrauch des Mobilfunknetzes vorbeugen, 
indem selbst durch Abhoren von Kontrollkanalen und 
der darauf folgenden Erkennung von Teilnehmernum- 
mern dennoch die Schlusselfunktion Y unbekannt 
bleibt, so daB ein Betniger niemals die richtige Antwort 50 
Z auf die jeweils unterschiedliche Zufallszahl X senden 
kann. Es ist jedoch moglich, in betriigerischer Absicht 
eine 1 : 1-Kopie einer Chip-Karte anzufertigen und da- 
bei auch die interne Schlusselfunktion Y zu kopieren, 
die eine Bestimmung des jeweils richtigen_Ergebnisses Z 55 
und somit einen MiBbrauch der betreffenden Teilneh- 
mer-Identifizierung zulaBt 

Um auch hier einen verbesserten Schutz vor MiB- 
brauch zu bieten, sieht die DE-PS 34 48 393 vor, daB 
sowohl in der Teilnehmerstation wie auch in der Zentra- 60 
le des Mobilfunknetzes zusatzliche, veranderbare Daten 
vorhanden sind, wobei zum Verbindungsaufbau die be- 
treffenden Daten von der Teilnehmerstation zur. Zen- 
trale ubertragen werden, um dort miteinander vergli- 
chen zu werden. Hierbei ist vorgesehen, daB als veran- 65 
derbare Daten die Zahl von erfolgreichen Verbindungs- 
aufbauten der Teilnehmerstation verwendet wird, und 
daB in der Teilnehmerstation wie auch in der Zentrale 



jeweils ein Zahler angeordnet ist, welche Zahler bei 
jedem erfolgreichen Verbindungsaufbau inks-ementiert 
werden. Hier wird anstelle des fest vorgegebefien 
Schlussels ein variabler Zahlerstand verwendet, der s;ch 
mit jedem Telefongesprach verandert Man erhalt da- 
durch sozusagen einen "dynamischen" Schlussei, der fol- 
genden Vorteil hat: Wird eine 1 : 1-Kopie der betreffen- 
den Chip-Karte angefertigt, ist zunachst der Zahler- 
stand auf der kopierten Karte richtig; bei der nun fol- 
genden Benutzung der betrugerisch angefertigten Kar- 
te wird zunachst auch das Schlusselwort immer richtig 
inkrementiert, so daB mehrere Gesprache moglich sind. 
Sobald jedoch die Original-Chip-Karte wieder benutzt 
wird, kann die Zentrale an dem ubertragenen, falschen 
Zahlerstand erkennen, daB ein Zweitgerat dieselbe 
Identifizierung benutzt. Daraufhin fragt die Zentrale ei- 
ne zweite Kennung ab f um das Originalgerat herauszu- 
finden, und sobald dies geschehen ist, kopiert die Zen- 
trale dessen Teilnehmernummer, so daB nun der bereits 
hochgezahlte Zahlerstand der betrugerischen Kopie 
falsch ist Bei diesem Verfahren mit B dynamischem ,, 
Schlussei kaim zwar ein MiBbrauch erkannt und vor- 
iibergehend ausgeschlossen werden. Sobald der Betni- 
ger jedoch eine Diskrepanz seines Zahlerstandes er- 
kennt, kann er durch manuelles Herabzahlen seines 
Zahlers versuchen, den aktuellen Zahlerstand der Zen- 
trale herauszufinden, und sich dann abermals in das Mo- 
bilfunknetz einschmuggeln. 

Aus diesen Nachteilen des vorbekannten Stands der 
Technik resultiert das die Erfindimg initiierende Pro- 
blem, ein Verfahren zum Erkenpen des MiBbrauchs ei- 
ner Zugangs- oder Zugriffsberechtigung in Form einer 
auf einem personenbezogenen Speichermedium gespei- 
cherten Identifizierung dahingehend zu verbessern, daB 
selbst bei einer 1 : 1-Kopie des Speichermediums und/ 
oder bei Verwendung eines "intelligenten" Nachbaus ei- 
nes derartigen Speichermediums keinerlei Moglichkeit 
eines dauerhaften MiBbrauchs besteht 

In Verfolgung dieses Ziels sieht die Erfindung vor, 
daB die zur Identifizierung vor jeder Interaktion uber- 
tragenen, variablen Daten bei jeder Interaktion zumin- 
dest teilweise durch neue Daten uberschrieben werden, 
die von der Auswerteeinrichtung generiert und zu dem 
Speichermedium ubertragen werden, und die bei der 
nachsten Interaktion von der Auswerte-/Entschei- 
dungseinrichtung als neues Schlusselwort zur Identifi- 
zierung verlangt werden. Die Erfindung geht hierbei aus 
von der Idee eines "dynamischen" Schlussels, uberlaBt es 
jedoch nicht der betreffenden Teilnehmerstation, das 
nachste Schlusselwort selbst zu generieren, sondern er- 
zeugt das nachst folgende Schlusselwort auf vollig un- 
vorhersehbare Art selbst und ubertragt es sodann auf 
die Teilnehmerstation, welche dieses bis zur nachsten 
Interaktion speichert. Hierdurch kann das nachstfolgen- 
de Schlusselwort von keiner anderen Teilnehmerstation 
als eben dieser ermittelt werden, weder durch eine 
1 : 1-Kopie der betreffenden Chip-Karte, noch durch ei- 
nen "intelligenten" Nachbau mit bspw. eingebauter De- 
krementierfunktion eines Zahlers od dgL Eine in betru- 
gerischer Absicht angefertigte 1 : 1-Kopie einer Chip- 
Karte wird spatestens dann erkannt, wenn die zur Be- 
nutzung berechtigte Person ihre Originalkarte mit dem-- 
alten Schlusselwort benutzt Sobald diese daraufhin ein 
neues Schlusselwort erhalten hat, ist es fur die 1 : 1-Ko- 
pie niemals mehr moglich, den richtigen Schlussei her- 
auszufinden. Dies ist dadurch sichergestellt, daB die von 
der Auswerteeinrichtung generierten Daten auf vollig 
unvorhersehbare Art, bspw. mit einem Zufailsgenerator 
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erzeugt werden. 

* -Um,2fli erkennen, wieviele der zuletzt gefuhrten Ge- 
sprache auf das Konto der betrugerisch angefertigten 
*i : l-Kopiezurechnensmd,isterfmdungsgemaB weiter- 
hin vorgesehen, daB ein anderer Teil der variablen Da- 
ten bei jeder Interaktion durch einen Zahlerbaustein 
inkrementiert wird, wobei dieser Teil der variablen Da- 
ten zur Obertragung ggf. verschliisselt werden kann. 
Hierdurch ist es der Zentrale eines Mobilfunknetzes 
bspw. moglich, die Differenz der Zahlerstande ihres 
Zahlers minus des Zahlers der als Original erkannten 
Teilnehmerstation zu bilden, wobei diese Differenz die 
Anzahl der betrugerisch gefuhrten Gesprache angibt 
Nun konnen die betreffenden Gebuhreneinheiten von 
der Rechnung des Originalteilnehmers subtrahiert wer- 
den, so daB dieser von dem Betrugsversuch keinen 
Schaden hat 

Urn die tatsachlich zugangsberechtigte Person von 
dem Betriiger zu unterscheiden, konnen in der Aus- 
werteeinrichtung ein PaBwort und/oder personenbezo- 
gene Daten gespeichert sein, welche ausschlieBlich der 
zugangsberechtigten Person bekannt sind und deren 
manuelle oder verbale Eingabe die Vergabe eines neuen 
Schlusselworts an diese Original-Chip-Karte veranlaBt, 
unabhangig davon, ob das von dieser zuletzt gelesene 
Schliisselwort richtig war oder nicht Die Abfrage eines 
PaBworts oder personenbezogener Daten kann dabei 
bevorzugt von einem Bediensteten des Systembetrei- 
bers vorgenommen werden, dem neben dieser Tatigkeit 
eine Reihe weiterer Aufgaben ubertragen sein konnen. 
Zur Erhohung der Sicherheit gegeniiber Betriigern 
kann wahrend eines derartigen Gesprachs, insbesonde- 
re wahrend der Nennung eines PaBworts, eine Stim- 
menanalyse durchgefuhrt werden, mit deren Hilfe sich 
zuverlassig uberpnifen laBt, ob die betreffenden Daten 
tatsachlich von der berechtigten Person stammen. 

Urn eine betrugerische Chip-Karte ein fur allemal zu 
entwerten, wird aufgrund einer falschen Identifizierung 
jegliche weitere Interaktion verweigert, so daB keinerlei 
Kosten anfallen. Es ist jedoch auch moglich, dieser be- 
trugerischen Station eine richtige Identifizierung vorzu- 
tauschen und das bspw. folgende Telefongesprach auf- 
zuzeichnen, um daraus Riickschlusse uber den Betriiger 
zu gewinnen. 

Um auch bei der Initialisierungsphase einer erfin- 
dungsgemaBen Chip-Karte die Vergabe eines PaBworts 
an eine betrugerisch ersteilte Chip-Karte auszuschlie- 
Ben, kann gemaB einer bevorzugten Weiterbildung der 
Erfindung das PaBwort bei einer erstmaligen Interak- 
tion von dem Speichermedium gelesen und in der Aus- 
werteeinheit gespeichert und sodann auf dem Speicher- 
medium vollstandig geioscht werden. Hierdurch erfolgt 
ausschlieBlich ein Datentransfer von der Mobilstation 
zur Zentrale, niemals dagegen in umgekehrter Richtung. 
Indem das PaBwort sodann auf dem Speichermedium 
geioscht wird, kann es selbst bei einer 1 : 1-Kopie nicht 
mehr aufgefunden werden. 

Die Erfindung ist nicht auf Mobilfunknetze be- 
schrankt, sondern kann auch bei anderen Dienstlei- 
stungsanlagen wie Telefonnetzen, bankeigenen Netzen 
von Geldausgabeautomaten, (firmeneigenen) Compu- 
ternetzen oder -systemen od. dgL vorteilhaft eingesetzt 
werden. Voraussetzung ist ausschlieBlich die Vergabe 
von personenbezogenen Speichermedien an zum Zu- 
gang oder zum Zugriff berechtigte Personen, um diese 
identifizieren zu konnen. Wahrend bei offentlichen Te- 
lefoiien, Geldausgabeautomaten od dgl. eine Kommu- 
nikation zwischen dem Speichermedium und der betref- 
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fenden Zentrale der Dienstleistungsanlage ausschlieB- 
lich zum Zweck eines Zugriffs auf diese Dienstleistungs- 
anlage erfolgt, so daB als Interaktion tatsachlich nur ein 
erfolgreicher Zugriff anzusehen ist, lauf en in Mobilfunk- 
netzen regelmaBig systeminterne Funktionen ab, die 
ebenfalls als Interaktionen im Sinne der Erfindung ange- 
sehen werden konnen, welche eine Aktualisierung der 
variablen Daten ermoglichen. Bei diesen* systeminter- 
nen Funktionen handeit es sich bspw. um die in regelma- 
Bigen Zeitabstanden erfolgende Ruckmeldung einer 
Teilnehmerstation, um in einer Kontrolliste in der Zen- 
trale des Mobilfunknetzes ihre Kommunikationsbereit- 
schaft zu signalisieren. Eine weitere Kommunikation 
zwischen Mobilstation und Funknetz fmdet immer dann 
statt, wenn die Mobilstation eine Funkzone verlaBt und 
sich infolge der nachlassenden Empf angsfeidstarke eine 
andere Feststation auswahlt Auch bei dieser als Roa- 
ming bezeichneten Zuordnung ist eine Identifizierung 
der Teilnehmerstation notwendig, bei der anschlieBend 
die variablen Daten uberschrieben werden konnen. Die 
Aktualisierung der variablen Daten bei jeder derarti- 
gen, systemintemen Funktion stellt sicher, daB ein be- 
triigerisches Zweitgerat innerhalb eines kiirzesten Zeit- 
intervalls erkaimt wird, selbst wenn die zugangsberech- 
tigte Person uber einen groBeren Zeitraum hinweg 
nicht selbst auf das Mobilfunknetz zugreift Hierdurch 
laBt sich der wirtschaftliche Schaden betrvigerischer Ak- 
rivitaten auch fur den Betreiber des Mobilfunknetzes 
auf einen vernachlassigbar niedrigen Betrag reduzieren. 

Patentanspriiche 

1. Verfahren zum Erkennen der unerlaubten Benut- 
zung einer zum Zugriff auf eine Dienstleistungsan- 
lage, zum Zugang zu Raumen od dgl. berechtigen- 
den Identifizierung mit einem personenbezogenen 
Speichermedium, insbesondere in Form einer Chip- 
Karte, und mit einer SchreibVLeseeinrichtung fur 
dieses Speichermedium, wobei die Schreib-/Lese- 
einrichtung mit einer Auswerte- und Entschei- 
dungseinrichtung, bspw. in Form einer Steuerzen- 
trale oder eines Zentralcomputers der Dienstlei- 
stungs- oder Raumuberwachungsanlage kommuni- 
ziert, wobei zur Oberpriifung der Identifizierung in 
dem personenbezogenen Speichermedium gespei- 
cherte Daten gelesen und an die Auswerte- und 
Entscheidungseinrichtung ubertragen werden, wel- 
che in Abhangigkeit von diesen Daten eine Interak- 
tion, insbesondere den Zugriff/Zugang oder eine 
systeminterne Funktion, gewahrt oder verweigert, 
und wobei mindestens ein Teil der iibertragenen 
Daten variabel ist, dadurch gekennzeichnet, daB 
die variablen Daten bei jeder Interaktion zumin- 
dest teilweise durch neue Daten uberschrieben 
werden, die von der Auswerteeinrichtung generiert 
und zu dem Speichermedium ubertragen werden, 
und die bei der nachsten Interaktion von der Aus- 
werte-/Entscheidungseinrichtung als neues Schliis- 
selwort zur Identifizierung verlangt werden. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die von der Auswerteeinrichtung ge- 
nerierten Daten auf vollig unvorhersehbare Arv> 
bspw. mit einem Zuf allsgenerator, erzeugt werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB ein anderer Teil der variablen 
Daten bei jeder Interaktion durch einen Zahlerbau- 
stein inkrementiert wird, wobei dieser Teil der va- 
riablen Daten zur Obertragung ggf. verschliisselt 
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werden kann. 

4. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB in der Aus- 
werteeinrichtung ein PaBwort und/oder personen- 
bezogene Daten gespeichert ist (sind), welche(s) 5 
ausschlieBlich der zugriffs-/zugangsberechtigten 
Person bekannt ist (sind), und dessen (deren) manu- 
elle und/oder verbale Eingabe die Vergabe eines 
neuen Schiusselworts an das dieser Person zuge- 
ordnete Speichermedium veranlaBt, unabhangig 10 
davon, ob das zuletzt gelesene Schlusselwort rich- 
tig war oder nicht 

5. Verfahren nach Anspruch 4, dadurch gekenn- 
zeichnet, daB bei Abweichung der variablen Daten 
von den der Auswerte-ZEntscheidungseinheit be- 15 
kannten SoU-Daten der Zugriff/Zugang mit der be- 
treffenden Identifizierung verweigert wird, bis sich 
die zugangsberechtigte Person mittels des nur ihr 
bekannten PaBworts und/oder durch Eingabe wei- 
terer, personenbezogener Daten ausgewiesen und 20 
daraufhin einen neuen Satz variabier Daten erhal- 
ten hat 

6. Verfahren nach Anspruch 4 oder 5, dadurch ge- 
kennzeichnet, daB das PaBwort bei einer erstmali- 
gen Interaktion von dem Speichermedium gelesen 25 
und in der Auswerteeinheit gespeichert und sodann 
auf dem Speichermedium vollstandig geioscht wird. 

7. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB die Dienst- 
leistungsanlage ein Mobilfunk- oder Telefonnetz, 30 
das bankeneigene Netz von Geldausgabeautoma- 
ten, ein (firmeneigenes) Computernetz oder -sy- 
stem od. dgl. ist 

8. Verfahren nach einem der vorhergehenden An- 
spruche, wobei die Dienstleistungsaniage ein Mo- 35 
bilfunknetz ist, dadurch gekennzeichnet, daB die va- 
riablen Daten vor Beginn eines Verbindungsauf- 
baus und/oder in regeimaBigen Zeitabstanden (Ti- 
mer-Ablauf) und/oder beim Zuordnen zu einer 
neuen Funkzone (Rooming) durch neue Daten 40 
uberschrieben werden. 
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